Synchroniser un nouvel OU Active Directory avec Azure AD Connect : guide complet et script PowerShell

Les équipes hybrides doivent souvent élargir la portée de la synchronisation Azure AD Connect — par exemple lorsqu’un nouvel OU est créé dans l’Active Directory local. Cet article détaille pas à pas la mise à jour de la configuration, l’automatisation via PowerShell et les contrôles incontournables lorsque les objets n’apparaissent toujours pas dans Microsoft 365.

Synchroniser un nouvel OU avec Azure AD Connect

Comprendre la racine du problème

Lorsqu’un OU n’est pas coché dans l’assistant Azure AD Connect, les objets qu’il contient sont exclus du metaverse. S’ils avaient précédemment été exportés, Azure AD les marquera comme delete à la synchronisation suivante ; ils disparaîtront alors d’Entra ID jusqu’à leur rétablissement dans un OU synchronisé.

Procédure détaillée côté interface graphique

1. Lancer Azure AD Connect sur le serveur de synchronisation.
2. Cliquer sur Configure → Customize synchronization options.
3. Sélectionner le connecteur Active Directory concerné, puis choisir Directory partitions.
4. Cochez le nouvel OU (et conservez cochés les OU existants).
5. Terminez l’assistant ; il déclenche automatiquement un delta sync. Pour gagner du temps, lancez plutôt un cycle complet :

Import-Module ADSync
Start-ADSyncSyncCycle -PolicyType Initial

Surveiller ensuite le portail Entra ID : les objets doivent réapparaître dans l’heure.

Écueils fréquents

• Staging mode activé : si votre serveur est en mode Staging, il importe mais n’exporte plus ; basculez-le en production ou effectuez le basculement planifié.
• Filtrage d’attributs : un filtre basé sur l’attribut userAccountControl ou extensionAttribute peut toujours exclure les comptes.
• Seuil de suppression accidentelle : si plus de 500 objets seraient supprimés, Azure AD Connect bloque l’export ; ajustez la limite (Set-ADSyncScheduler -ToleratedObjectDeletionThreshold) ou validez manuellement la purge.
• Version obsolète : les versions < 2.0 ne gèrent pas TLS 1.2 par défaut et manquent de correctifs sur l’export de grands objets.

Mettre à jour la liste des OU synchronisés par script PowerShell

Pourquoi automatiser ?

Dans les environnements « staging → production », on souhaite que la préproduction reflète fidèlement le connecteur de production. Exporter puis réimporter la sélection d’OU par script assure la cohérence et limite les erreurs humaines.

Exporter la configuration en production

Import-Module ADSync
$prodOUs = Get-ADSyncConnector -Name "AD Connector" |
           Get-ADSyncADContainer |
           Where-Object {$_.Enabled -eq $true}

\$prodOUs |
Select DistinguishedName |
Export-Csv C:\Temp\ProdOUs.csv -NoTypeInformation

Importer et activer sur la plateforme de staging

$ous = Import-Csv C:\Temp\ProdOUs.csv
foreach ($ou in $ous) {
    Set-ADSyncADContainer -DistinguishedName $ou.DistinguishedName -Enabled $true
}
Start-ADSyncSyncCycle -PolicyType Initial

Cloner la configuration complète

Pour répliquer les connecteurs, règles de transformation, Join Rules et filtres, utilisez :

• Export-ADSyncServerConfiguration / Import-ADSyncServerConfiguration (commande native).
• Azure AD Connect Config Documenter pour comparer deux serveurs et générer un rapport différence/alignement.
• Le Staging Mode : installez Azure AD Connect en mode Staging, importez la configuration, basculez en production une fois vérifié.

La synchronisation est « réussie » mais les comptes n’apparaissent pas dans Microsoft 365

Localiser la panne

N’oubliez pas que le pipeline comporte plusieurs segments : AD → metaverse → Azure AD → Microsoft 365. Un success dans Azure AD Connect ne signifie que l’export vers Azure AD a été accepté.

Étape	Outil de contrôle	Symptôme s’il y a blocage
Export Azure AD	Event Viewer « Directory Synchronization »	Erreur export-error ou seuil suppression
Réplication interne Entra ID	Portail Entra ID	Objets visibles, licences 
Propagation aux workloads M365	Admin Center Microsoft 365	Objet absent, pas de licence

Correctifs rapides

1. Vérifiez Entra ID : si l’utilisateur y existe, passez au point 2.
2. Délais de réplication : jusqu’à 30 minutes pour Exchange Online, Teams ou SharePoint.
3. Licences : attribuez une licence automatiquement avec un groupe dynamique (Department = IT, par ex.).
4. Soft‑delete : contrôlez Users → Deleted users. Vous avez 30 jours pour restaurer.
5. Conflits UPN/objet : exécutez IDFix avant la prochaine synchronisation.

Étude de cas : conflit de sourceAnchor

Un mélange de objectGUID et mS-DS-ConsistencyGuid comme sourceAnchor peut créer des doublons fantômes. Une fois le connecteur mis à jour pour utiliser mS-DS-ConsistencyGuid, exécutez un Start-ADSyncSyncCycle -PolicyType Initial puis vérifiez qu’aucun objet n’est exporté en delete.

Bonnes pratiques globales

Sécuriser la configuration

• Restreignez l’accès au serveur Azure AD Connect : sa compromission expose votre Azure AD complet.
• Activez la surveillance Azure AD Connect Health pour recevoir des alertes de redémarre du scheduler, erreurs d’export, etc.
• Planifiez des sauvegardes mensuelles avec Export-ADSyncServerConfiguration ; stockez-les hors ligne et chiffrées.

Optimiser les performances

Un connecteur qui cible trop d’OUs ralentit chaque cycle. Contrôlez la taille du metaverse :

• Utilisez scoping filter pour n’inclure que les comptes actifs (userAccountControl -band 2 = disabled).
• Désactivez l’option « Enable Password Writeback » si vous ne l’utilisez pas : chaque mot de passe modifié génère un appel API.
• Sous 100 000 objets, un delta sync devrait finir en moins de 5 minutes.

Gérer les OUs par lot

Les scripts précédents peuvent être industrialisés :

Function Sync-OUList {
    param(
        [Parameter(Mandatory)]
        [string]$CsvPath,
        [switch]$Initial
    )
    Import-Module ADSync
    $ous = Import-Csv $CsvPath
    foreach ($ou in $ous) {
        Set-ADSyncADContainer -DistinguishedName $ou.DistinguishedName -Enabled $true
    }
    if ($Initial) { Start-ADSyncSyncCycle -PolicyType Initial }
}

Intégrez-la dans votre CI/CD pour déployer la même liste d’OUs à travers vos environnements.

FAQ rapide

Le nouvel OU apparaît, mais ses groupes globaux ne se synchronisent pas ?

Vérifiez que l’attribut groupType correspond aux groupes universels ou globaux que vous souhaitez vraiment exporter. Azure AD Connect ignore par défaut les groupes locaux de domaine.
Puis‑je déplacer un objet déjà synchronisé vers une autre forêt ?

Non, sauf si vous avez configuré sourceAnchor comme cloud‑immutableId et préparé un soft‑match. Sinon, l’objet sera considéré comme un nouveau et le compte historique sera supprimé.
Comment vérifier la version d’Azure AD Connect installée ?

Dans Programmes et fonctionnalités ou via PowerShell :
(Get-Item "C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe").VersionInfo.FileVersion

Conclusion

La synchronisation d’un nouvel OU avec Azure AD Connect n’est pas compliquée, mais elle exige rigueur et vérifications : cocher l’OU, forcer une Initial Sync, contrôler les journaux, puis automatiser la même logique sur vos environnements de test. Avec ces bonnes pratiques, vos utilisateurs, groupes et appareils apparaîtront dans Microsoft 365 sans mauvaise surprise.